密碼強度測試器 (熵 + 破解時間)

密碼「熵」是什麼

熵以位測量不可預測性。30 位熵的密碼平均需要 2³⁰ ≈ 10 億次猜測才能破解。70+ 位通常被視為強; 80+ 位優秀。

公式: 熵 = 長度 × log₂(字元集大小)。'abcdefgh' (8 字元, 僅小寫) = 8 × log₂(26) ≈ 37.6 位。'aA1!aaaa' (8 字元, 全字元集) = 8 × log₂(95) ≈ 52.6 位 — 但破解時間比 52 位暗示的差得多, 因為 'aaaa' 是常見模式。

破解時間為何差異巨大

離線 GPU: 洩露的密碼雜湊被離線攻擊。現代 GPU 每秒可猜 10⁹+ MD5 雜湊; bcrypt 雜湊每秒只 10⁴-10⁵。這裡的預估假設 GPU 快速雜湊。

線上快速: 攻擊者直接攻擊登入 API。多數 API 有某種速率限制; 1000 次/秒是防禦薄弱端點的高階預估。

線上慢速: 有嚴格速率限制、賬戶鎖定和 CAPTCHA 的良好防禦端點。100 次/秒慷慨; 許多系統每分鐘只允許 5-10 次。

這些預估忽略實際世界因素如字典攻擊 (比暴力破解更快找到常見密碼) 和密碼重用 (破解一個網站的洩露幫助破解其他)。

什麼使密碼強

長度勝複雜度: 16 字元密碼短語 'correct horse battery staple' 比折磨的 8 字元 'P@ssw0rd!' 更強。2011 年 XKCD 見解仍成立: 4 個隨機單詞給 ~44 位熵。

避免模式: 日期、名字、'123'、'qwer'、重複字元都減少實際熵到公式值以下。攻擊工具包括廣泛的「基於規則」變換 (如 'password' → 'P@ssw0rd!')。

用密碼管理器: 人類選模式; 管理器不會。Bitwarden、1Password、KeePass 每個網站生成真隨機 16+ 字元全字元集密碼。你需要記住的只有主密碼 — 那個應該是長記憶短語。